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VERFAHREN UND BINRICHTUNG ZUM BILDEN UND EMTSCHLUSSELN EINER VERSCHLUSSELTEW 
NACHRICHT MIT KOMMXJNIKATIONS-KONFIGURATIONSDATEN 

Bcschreibung 

Verfahren und Einrichtung zum Bilden einer verschlusselten 
Nachricht und Verfahren und Einrichtung zum Entschlusseln ei- 
5 ner verschlusselten Nachricht 

Die Erfindung betrifft ein Verfahren und eine Einrichtung zum 
Bilden einer verschlusselten Nachricht sowie ein Verfahren 
und eine Einrichtung zum Entschlusseln einer verschlusselten 
10 Nachricht. 

Ein Mobilfunk-Koramunikationsendgerat erhalt im Rahmen des 
Netzzugangs von dem Kommunikationsnetzwerk iiblicherweise eine 
Reihe von Konf igurationsparametern^ welche beispielsweise 
15 Kommunikationsverbindungs-Parameter enthalten. Der im Rahmen 
der Bereitstellung der Konf igurationsparameter verwendete Me- 
chanismus ist abhangig von dem jeweiligen Anwendungsszenario . 

Fur ein Mobil funk-Kommunikationsendgerat, das sich in einem 
20 lokalen Netzwerk, beispielsweise einem Wireless Local Area 
Network (WIAN) anmeldet, beispielsweise bei einem so genann- 
ten Hotspot als Zugangsknoten zu dem lokalen Netzwerk besteht 
die Moglichkeit der Bereitstellung von Konf igurationsparame- 
tern derzeit oftmals nicht^ da weder das Point-to-Point Pro- 
25 tokoll (PPP) noch virtuelle private Kommunikationsnetzwerke 
(Virtual Private Network, VPN) eingesetzt werden. Erfolgt 
kein Schutz der von dem jeweiligen Mobilfunk^ 
Komraunikationsendgerat verwendeten Konf igurationsdaten, d.h. 
der Konfigurationsparameter, so besteht fur einen Angreifer 
30 die Moglichkeit, sowohl dem Mobilf unk-Kommunikationsendgerat 
als auch dem Kommunikationsnetzwerk Schaden zuzufugen. Eine 
Beschreibung der existierenden Sicherheitsbedrohungen ist 
beispielsweise in [1] zu finden. 
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Fig.l zeigt ein Blockdiagramm, welches eine Kommunikationsan- 
ordnung 100 darstellt. Die Kommunikationsanordnung 100 weist 
ein Zugangsnetzwerk 101 sowie eine Netzwerk-Domane 102 auf , 
5 welche miteinander mittels eines Zugangs -Routers 105 (Access 
Router) gekoppelt sind. 

In dem Zugangsnetzwerk 101 sind ferner mindestens ein Mobil- 
funk-Kommunikationsendgerat 103 sowie ein Vermitt lungs knoten 
10 104 (Link Node) vorgesehen, urn eine Mobilfunk- 

Kommunikationsverbindung zwischen dem Mobilfunk- 
Kommunikationsendgerat 103 und der Netzwerk-Domane 102 und 
dariiber mit anderen Kommunikationsendgeraten, bereitzustel- 
len. 

15 

In Fig.l sind ferner eine Vielzahl von erf orderlichen Kommu- 
nikationsprotokollen dargestellt^ die im Rahmen einer Konunu- 
nikationsnetzwerk-Zugangsprozedur ausgefiihrt werden. Mittels 
der Pfeile bzw. der Doppelpfeile ist jeweils dargestellt, 
20 zwischen welchen Entitaten der beteiligten Kommunikationsin- 
stanzen das jeweilige Konmiunikationsprotokoll durchgefiihrt 
wird. 

So wird, dargestellt mittels eines ersten Pfeils 106, zwi- 
25 schen der Kommunikationsnetzwerk-Domane 102 und dem Zugangs- 
Router 105 ein Protokoll zum Bereitstellen der Kornmunikati- 
onsnetzwerk-Doraanen-Sicherheit bereitgestellt (1. Network Do- 
main Security in Fig.l) . 

30 Ferner ist im Rahmen eines zweiten Kommunikationsprotokolls, 
dargestellt in Fig.l mittels eines zweiten Pfeils 107, eine 
sichere IP-Adress-Konf iguration vorgesehen (2. Secure IP- 
Address-Configuration in Fig.l). 
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Unter Verwendung des Mobilfunk-Kommunikationsendgerats 103, 

des Vermittlungsknotens 104 und des Zugangs -Routers 105 ex- 

folgt eine Etablierung einer Authentif ikations- und Sicher- 

5 heitsbeziehung zwischen einerseits dem Mobilfunk- 

Kommunikationsendgerat 103 und dem Zugangs-Router 105 und an- 

dererseits zwischen dem Zugangs-Router 105 und der Kommunika- 

tionsnetzwerk-Domane 102, in Fig.l symbolisiert durch einen 

dritten Pfeil 108 und einem vierten Pfeil 109 

0 {3, Authentication and Security Association Establishment in 
Fig.l) . 



Ferner sind iiblicherweise Kommunikationsprotokolle auf der 
Ebene der Schicht 2 des OSI-Referenzmodells (OSI: Open Sys- 
15 terns Interconnection), d.h. zur Bereitstellung von Sicher- 
heitsmechanismen auf der Ebene der Datensicherungsschicht, 
vorgesehen, in Fig.l dargestellt mittels eines' fiinften Pfeils 
110 zwischen dem Mobilfunk-Kommunikationsendgerat 103 und dem 
Vermittlungsknoten 104 bzw. mittels eines sechsten Pfeils 111 

* 

20 zur Sicherung der Kommunikation auf Datensicherungsschicht- 
Ebene zwischen dem Vermittlungsknoten 104 und dem Zugangs- 
Router 105. 

Ein siebter Pfeil 112 symbolisiert ein weiteres Kommunikati- 
25 onsprotokoll zur Bereitstellung von Sicherheitsmechanismen 
auf Internet Protokoll-Schicht-Ebene zwischen dem Mobilfunk- 
Kommunikationsendgerat 103 und dem Zugangs-Router 105. 

Von besonderer Bedeutung sind im Folgenden die Kommunikati- 
30 onsprotokolle zur sicheren IP-Adress-Konfiguration (symboli- 
siert mittels des zweiten Pfeils 107) und der Authentif ikati- 
ons- und Sicherheitsbeziehungs-Etablierung (symbolisiert mit- 
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tels des dritten Pfeils 108 bzw. mittels des vierten Pfeils 
109) . 

¥ 

Zur Bereitstellung von Konf igurationsparametern im Rahmen von 
5 Firmen-Konununikationsnetzwerken ist es bekannt, diese entwe- 
der statisch oder dynamisch zu konfigurieren, beispielsweise 
gemaJJ dem Dynamic Host Configuration Protocol for IPv6 
(DHCPvG), wie in [2] oder in [3] beschrieben. 

In [2] und [3] selbst ist kein kryptographischer Schutz der 
jeweiligen dort beschriebenen Kommunikationsprotokolle vorge- 
sehen. Das DHCP bietet jedoch die Moglichkeit, die elektroni- 
schen Nachrichten des Koiranunikationsprotokolls durch einen 
vorab ausgehandelten kryptographischen Schlxissel zu sichern, 
Diese Moglichkeit ist in [4] beschrieben. 

■ 

Fur den Zugang zu einem Internet-Service-Provider wird der- 
zeit nahezu ausschliefilich das Point-to-Point Protocol (PPP) 
Oder eine Variation, bezeichnet als Point-to-Point Protocol 
over Ethernet (PPPoE) , verwendet, um die erforderlichen Kon- 
figurationsparameter an das Mobilfunk-Konimunikationsendgerat 
zu ubermitteln . 

Fiir einen Zugang zu einem virtuellen privaten Netzwerk (Vir- 
tual Private Network, VPN) ist es bekannt, zwei Protokolle zu 
verwenden, um die Konf igurationsparameter fxir das Mobilfunk- 
Kommunikationsendgerat, d.h. die Konf igurationsdaten kryp- 
tographisch geschiitzt zu transportieren, namlich ein erstes 
Protokoll ModeConfig bzw. ein zweites Koramunikationsprotokoll 
DHCP, welche Protokolle in [5], [6], [7] und [8] beschrieben 
sind. 
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Bei dem Kommunikationsprotokoll ModeConfig wurden in das Au- 
thentif ikations- und Schliisselaushandlungsprotokoll Internet 
Key Exchange (IKE) (beschrieben in [9]) bzw. in das Internet 
Key Exchange v2 Protokoll (IKEv2), beschrieben in [10], in-- 
5 tegriert . 

Um eine kryptographisch gesicherte Ubertragung von Konfigura- 
tionsparametern zwischen dem Kommunikationsnetzwerk und einem 
Mobilfunk-Konununikationsendgerat zu ermoglichen, wurden in 
10 der Vergangenheit unterschiedliche Verfahren benutzt. 

Diese Verfahren lassen sich insbesondere in drei Gruppen auf- 
teilen: 



15 1. Erweiterungen zu DHCP: 

Um DHCP-Nachrichten ira Umfeld der Mobilfunk- 
Kommunikationsgerate kryptographisch zu schiitzen wurden 
eine Reihe von Erweiterungen zu DHCP vorgeschlagen, wie 
20 sie beispielsweise in [11], [12], [13] und [14] beschrie- 

ben sind. 



Diese Erweiterungen zu DHCP sollen es einem Mobilfunk- 
Kommunikationsendgerat ermoglichen, sich dynamisch in dem 
25 Kommunikationsnetzwerk eine Sicherheitsbeziehung mit dem 

DHCP-Server-Computer aufzubauen. 

2. Erweiterungen von Extensible Authentication Protocol (EAP) 
Verfahren: 

30 

Das Extensible Authentication Protocol ist in [16] be- 
schrieben. 
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In [15] ist eine Erweiterung eines EAP-Verfahrens be- 
schrieben^ mit dem es ermoglicht ist, das Internet Key Ex 
change Protocol v2, wie es in [10] beschrieben ist, wie- 
derzuverwenden . 



Als ein Nebeneffekt besteht in IKEv2 die Moglichkeit, Kon- 
figurationsparameter kryptographisch geschiitzt zn iibertra- 
gen. 



10 3. Bootstrapping-Methode: 



Ferner ist ein Komraunikationsprotokoll-Vorschlag bekannt, 
mit dem die initiale Netzwerkauthentif ikation unter Ver- 
wendung von EAP und die Bereitstellung einer Sicherheits- 
15 Komraunikationsverbindung mit dem DHCP-Server-Computer er- 

moglicht wird (vgl. [17]). 



Der Vorteil dieses Verfahrens liegt in der Trennung zwi- 
schen der Netzwerkauthentifikation und der kryptographi- 
20 schen Sicherung der DHCP-Nachrichten 



Das DHCP-Koramunikationsprotokoll muss in diesem Fall nicht 
verandert werden. 



25 In [18] ist ein Verfahren zur EAP-Authorisation beschrieben 



Weitere Erweiterungen zu dem Extensible Authentication Proto- 
col zur kryptographisch gesicherten Dateniibertragung sind in 
[19]/ [20] und [21] beschrieben. 

Der Erfindung liegt das Problem zugrunde, auf einfache Weise 
Komrounikations-Konfigurationsdaten einem Koramunikationsgerat 
kryptographisch gesichert bereitzustellen. 
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Das Problem wird durch ein Verfahren und eine Einrichtung zum 
Bilden einer verschliisselten Nachricht sowie durch ein Ver- 
fahren und eine Einrichtung zum Entschliasseln einer ver- 
5 schlusselten Nachricht mit den Merkmalen gemali den unabhangi^ 
gen Patentanspruchen gelost. 

Bevorzugte Weiterbildungen der Erfindung ergeben sich aus den 
abhangigen Anspriichen. Die im Folgenden beschriebenen Ausges- 
10 taltungen der Erfindung betreffen sowohl das Verfahren als 
auch die Einrichtung zum Bilden einer verschlusselten Nach- 
richt als auch das Verfahren und die Einrichtung zum Ent- 
schliisseln einer verschlusselten Nachricht- 

15 Die im Folgenden beschriebenen Komponenten der Erfindung kon- 
nen in Software, d.h. raittels eines Computerprogramms, in 
Hardware, d.h, mittels einer speziellen elektrischen Schal- 
tung Oder in beliebig hybrider Form, d.h. teilweise in Hard- 
ware und teilweise in Software, realisiert sein. 

20 

Bei einem Verfahren zum Bilden einer verschlusselten Nach- 
richt, wobei die verschliisselte Nachricht Kommunikations- 
Konfigurationsdaten enthalt, wird unter Verwendung von min- 
destens einem Dienst einer Einheit einer Sicherungsschicht 

25 zwischen einer ersten Kommunikationseinheit und einer zweiten 
Kommunikationseinheit ein internet-basiertes Authentif ikati- 
onsverfahren durchgefiihrt, wodurch fur die erste Kommunikati- 
onseinheit und die zweite Kommunikationseinheit raindestens 
ein kryptographisches Schliisselpaar, aufweisend mindestens 

30 zwei kryptographisch zueinander korrespondierende Schliissel, 
gebildet wird. Unter Verwendung raindestens eines kryp- 
tographischen Schlussels des mindestens einen kryptographi- 
schen Schliisselpaars werden die Kommunikations- 
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Konf igurationsdaten von der ersten Kommunikationseinheit ver- 
schliisselt, womit die verschlusselte Nachricht gebildet wird. 

Bei einem Verfahren zuin Entschlusseln einer verschlusselten 
5 Nachricht, welche verschlusselte Nachricht Koinmunikations- 
Konfigurations-Daten enthalt/ wird unter Verwendung von min- 
destens einem Dienst einer Einheit einer Sicherungsschicht 
zwischen einer ersten Kommunikationseinheit und einer zweiten 
Kommunikationseinheit ein internet-basiertes Authentif ikati- 

10 onsverfahren durchgefuhrt, wodurch fiir die erste Kommunikati- 
onseinheit und fiir die zweite Koiranunikationseinheit mindes- 
tens ein kryptographisches Schliisselpaar gebildet wird. Unter 
Verwendung mindestens eines kryptographischen Schliissels des 
mindestens einen kryptographischen Schliisselpaars werden die 

15 in der verschlusselten Nachricht enthaltenen Komraunikations- 
Konfigurationsdaten von der zweiten Kommunikationseinheit un- 
ter Entschlusselung der verschlusselten Nachricht ermittelt. 

Eine Einrichtung zum Bilden einer verschlusselten Nachricht, 
20 welche verschlusselte Nachricht Kommunikations- 

Konf igurationsdaten enthalt, weist eine Schliisselerzeugungs- 
Einheit auf, welche eingerichtet ist, unter Verwendung von 
mindestens einem Dienst einer Einheit einer Sicherungsschicht 
zwischen einer ersten Kommunikationseinheit und einer zweiten 
25 Kommunikationseinheit ein internet-basiertes Authentif ikati- 
onsverfahren durchzufuhren, wodurch fiir die erste Kommunika- 
tionseinheit und die zweite Kommunikationseinheit mindestens 
ein kryptographisches Schliisselpaar gebildet wird. Ferner 
weist die Einrichtung eine Verschliisselungseinheit auf, wel- 
30 che eingerichtet ist, unter Verwendung mindestens eines kryp- 
tographischen Schliissels des mindestens einen kryptographi- 
schen Schliisselpaars die Kommunikations-Konf igurations-Daten 
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zu verschlusseln, womit die verschlusselte Nachricht gebildet 
wird. 

Eine Einrichtung zum Entschlusseln einer verschliisselten 
5 Nachricht^ wobei die verschlusselte Nachricht Kommunikations- 
Konfigurations-Daten enthalt, weist eine Schliisselerzeugungs- 
einheit auf, welche eingerichtet ist, unter Verwendung von 
mindestens einera Dienst einer Einheit einer Sicherungsschicht 
zwischen einer ersten Kommunikationseinheit und einer zweiten 
10 Koimnunikationseinheit ein internet-basiertes Authentif ikati- 
onsverfahren durchzufiihren, wodurch fiir die erste Kommunika- 
tionseinheit und die zweite Kommunikationseinheit mindestens 
ein kryptographisches Schlusselpaar gebildet wird. Ferner 
weist die Einrichtung eine Entschliisselungseinheit auf, wel- 
15 che eingerichtet ist, unter Verwendung mindestens eines kryp- 
tographischen Schliissels des mindestens einen kryptographi- 
schen Schlusselpaars Koramunikations-Konf igurations-Daten von 
der zweiten Kommunikationseinheit unter Entschlusselung der 
verschliisselten Nachricht, welche die Kommunikations- 
Konfigurations-Daten enthalt, zu entschlusseln. 

GemaB einer Ausgestaltung der Erfindung basiert das internet- 
basierte Authentif ikationsverf ahren auf einem Extensible Au- 
thentication Protocol-Verfahren. 

Alternativ kann jedes Authentif ikationsverf ahren verwendet 
werden, bei dem ein kryptographisches Schlusselpaar gebildet 
werden wird und welches unmittelbar die Dienste der Siche- 
rungsschicht ohne Zwischenschaltung einer IP-Schicht in An- 
spruch genommen wird. Anschaulich bedeutet dies, dass das in- 
ternet-basierte Authentif ikationsverf ahren auf Schicht-3- 
Ebene gemafi dem OSI-Referenzmodell, d.h. auf der Ebene der 
Vermi tt lungs schicht realisiert ist. 
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Anders ausgedriicJct bedeutet dies^ dass erf indungsgemafi stan- 
dardisierte Konf igurationsprotokollB/ wie sie beispielsweise 
in [5], [6], [7] Oder [8] beschrieben sind, verwendet warden 
5 um ein Kommunikationsendgerat, vorzugsweise ein Mobilfunk- 
Koramunikationsendgerat^ zu konf igurieren, d.h. mit Konfigura 
tionsdaten, im Folgenden auch bezeichnet als Kommunikations- 
Konf igurationsdaten bzw. Kommunikations- 
Konf igurationsparameter, zu versehen. 

10 

Dies geschieht in einer Art und Weise, die gemafi dem Stand 
der Technik nicht vorgesehen ist. 

Anschaulich werden die standardisierten Konf igurationsproto- 
15 kolle kryptographisch gesichert unter Verwendung kryp- 

tographischer Schliissel, die mittels eines vorangegangenen 
internet-basierten Authentif ikationsverf ahrens, besonders be 
vorzugt einem vorangegangenen EAP-basierten Netzwerkauthenti 
f ikationsverf ahren bzw . Netzwerkauthentif ikationsmechanisraus 
20 gebildet wurden. 

Anders ausgedriickt werden standardisierte Konf igurationspro- 
tokolle, beispielsweise DHCP Oder ModeConfig geschiitzt durch 
im Rahmen einer vorangegangenen Netzwerkzugangsauthentif ika- 
25 tion gebildeter kryptographischer Schlussel. 

Die Kommunikations-Konf igurationsdaten konnen unter Verwen- 
dung von elektronischen Nachrichten gemafi dem internet- 
basierten Authentif ikationsverfahren von der ersten Kommuni- 
30 kationseinheit zu der zweiten Konununikationseinheit ubertra- 
gen werden. 
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Diese Ausgestaltung der Erfindung weist insbesondere den Vor- 
teil auf r dass schon das zur Authentif ikation und zur Schltis- 
selerzeugung verwendete Kommunikatlonsprotokoll in den zu 
verwendenden Nachrichtenformaten auch zur Ubertragung der 
5 Kommunikations-Konf igurationsdaten von dem Kommunikations- 
netzwerk zu dem Kommunikationsendgerat verwendet werden kann, 
womit die Implementierung des erf indungsgemafien Verfahrens 
erheblich vereinfacht wird. 

Gemaii einer anderen Ausgestaltung der Erfindung ist es vorge- 
sehen, dass die Kommunikations-Konf igurationsdaten unter Ver- 
wendung von elektronischen Nachrichten gemaB einem der vor- 
liegenden internet -basierten Authentif ikationsverfahren von 
der ersten Komraunikationseinheit zu der zweiten Konimunikati- 
onseinheit iibertragen werden 

• Protected Extensible Authentication Protocol -Verfahren, 

• Extensible Authentication Protocol Tunneled TLS Authenti- 
cation Protocol-Verfahren, oder 

• Protocol for Carrying Authentication for Network Access- 
Verfahren. 

Anders ausgedriickt bedeutet dies^ dass die Ubertragung der 
Kommunikations-Konf igurationsdaten gemaii dem in [20], dem in 
[21] oder geraaB dem in [17] beschriebenen Verfahren iibertra- 
gen werden kann. 

Wird das EAP-basierte Verfahren selbst zur Ubertragung der 
Kommunikations-Konf igurationsdaten verwendet, so kann der 
Schutz der EAP-Konf igurationsnachrichten uber an sich bekann- 
30 te Tunneling-Methoden, wie sie beispielsweise in [20], in 
[21] oder in [17] beschrieben sind, oder durch EAP- interne 
Schutzmechanisraen, beispielsweise gemaB [19] erfolgen. In 
diesem Zusaramenhang ist es ebenfalls moglich, das in [18] be- 
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schriebene Verfahren als Container zu verwenden, um die Kom- 

munikations-Konfigurationsdaten zu transportieren. 

Vorzugsweise ist die erste Koinraunikationseinheit eine Koiranu- 
5 nikationseinheit eines Kommunikationsnetzwerk-Elements, be- 
sonders bevorzugt eine Kommunikationseinheit eines Koramunika- 
tionsnetzwerk-Elements in einem Mobilfunk- 
Komrounikationsnetzwerk, beispielsweise gemaJi einem 3GPP- 
Mobilfunkstandard, beispielsweise einem Kommunikationsnetz- 
10 werkelementr welches gemaJi UMTS eingerichtet ist, alternativ 
gemaB einem anderen Mobilfunkstandard, z .B. GSM, eingerichtet 
ist- 

GemaB einer anderen Ausgestaltung der Erfindung ist es vorge- 
15 sehen, dass die zweite Kommunikationseinheit ein Kommunikati- 
onsendgerat ist, besonders bevorzugt ein Mobilfunk- 
Komraunikationsendgerat, beispielsweise eingerichtet gemaB ei- 
nem Mobilfunk-Kommunikationsstandard gemaJi 3GPP, beispiels- 
weise gemaB dem UMTS-Kommunikationsstandard, alternativ gemaB 
20 dem GSM-Kommunikat ions standard. 

Insbesondere im Rahmen der Ubertragung von Konf igurationsda- 
ten zu einem Mobilfunk-Kommunikationsendgerat iiber eine Luft- 
schnittstelle eignet sich die oben beschriebene Vorgehenswei- 
25 se, da die in diesem Zusaramenhang standardisierten Kommunika- 
tionsprotokollen sehr einfach und kostengunstig verwendet 
werden konnen zura sicheren Ubertragen der Kommunikations- 
Konf igurationsparameter aus einer Kommunikationsnetzwerk- 
Domane hin zu einem Mobilfunk-Koramunikationsendgerat . 

30 

GemaB einer anderen Ausgestaltung der Erfindung ist es vorge- 
sehen, dass die Kommunikations-Konf igurationsdaten gemaB ei- 
nem Protokollf ormat eines Protokolls zum Konf igurieren eines 
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Konmiunikationsendgerats codiert sind^ vorzugsweise gemaJi ei- 
nem Protokollformat eines Protokolls zum dynamischen Konfigu- 
rieren eines Kommunikationsendgerats, besonders bevorzugt ge- 
maB einem Protokollforinat eines Dynamical Host Configuration 
5 Protocols zum dynamischen Konfigurieren eines Kommunikations- 
endgerats, wie es beispielsweise in [2] beschrieben ist. 

Insbesondere bei einem EAP-basierten Authentif ikationsverfah- 
ren zeichnet sich die Verwendung der im Rahmen des EAP- 

10 basierten Authentifikationsverfahrens erzeugte kryptographi- 
sche Schliisselraaterial zur kryptographisch gesicherten Uber- 
tragung der Koramunikations-Konf igurationsdaten im Rahmen ei- 
nes DHCP-Komraunikationsprotokolls Oder ModeConfig- 
Kommunikationsprotokolls durch die Einfachheit und damit die 

15 kostengiinstige Realisierbarkeit aus. 

Unter Kommunikations-Konf igurationsdaten sind in diesem Zu- 
sammenhang alle Daten oder Parameter zu verstehen, mittels 
welcher Kommunikations-Eigenschaf ten des Kommunikationsendge- 
20 rats im Rahmen einer Kommunikationssitzung charakterisiert 
werden . 



Beispielsweise sind unter Komraunikations-Konf igurationsdaten 
eine mittels des Kohf igurationsprotokolls, vorzugsweise gemafi 

25 dem Dynamical Host Configuration Protocol vorgesehene Daten 
zum Charakterisieren des Kommunikationsendgerats, beispiels- 
weise die gemali dem BOOTP vorgesehenen Inf ormationen, die ein 
auf den BOOTP-basierenden Server-Computer bereitgestellt wer- 
den, insbesondere die IP-Adresse des Kommunikationsendgerats, 

30 eine so genannte Subnetz-Maske, eine IP-Adresse des Default 
Gateways, eine IP-Adresse des primaren DNS-Servers und/oder 
des sekundaren DNS~Servers, eine IP-Adresse des primaren 
WINS-Servers oder einer IP-Adresse des sekundaren WINS- 
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Servers^ eine Pfadangabe zu der erf orderlichen BOOTP-Datei^ 
ein Kommunikationsnetzwerk-Dornanen-Suffix des Clients, d.h. 
des Mobilfunk-Kommunikationsendgerats, einer IP-Adresse des 
eines Zeitserver-Computers sowie ein Zeit-Offset von der 
5 Coordinated Universal Time (CMT) , 

Ausfiihrungsbeispiele der Erfindung sind in den Figuren darge- 
stellt und warden im Folgenden naher erlautert. 

Es zeigen 

Figur 1 eine Kommunikationsanordnung gemaJi dem Stand der 
Technik; 

Figuren 2a bis 2d ein Nachrichtenf lussdiagrainm,r in dem die 

einzelnen Verf ahrensschritte zum Ubermitteln von Kom-- 
munikations-Konf igurationsdaten gemafi einem ersten 
Ausfuhrungsbeispiel der Erfindung dargestellt sind; 
und 

* 

Figur 3a und 3b ein Nachrichtenf lussdiagramm, in dem die ein- 
zelnen Verfahrensschritte zum Ubermitteln von Koramu- 
nikations-Konf igurationsdaten gemafi einem zweiten 
Ausfuhrungsbeispiel der Erfindung dargestellt sind. 

Fig. 2a bis Fig. 2d zeigt ein Nachrichtenf lussdiagramra 200, in 
dem der Austausch von elektronischen Nachrichten zwischen 
Einheiten eines Mobil funk-Kommunikat ions systems, eingerichtet 
gemafi dem UMTS-Koramunikations standard, dargestellt ist. Ins- 
besondere sind in den Fig, 2a bis Fig. 2d dargestellt ein Mo- 
bilf unk-Kommunikationsendgerat 201, ein Wireless Local Area 
Network (WLAN) Zugangsknoten-Rechner 202, ein TTLS-Server- 
Rechner 203 sowie eine Authorization Authentication and Ac- 
count ing-Einheit 204 (AAA-Einheit) . 
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Die weiteren iiblichen Komponenten des Mobilfunk- 
Koimnunikationsnetzwerks gemaJi dem UMTS-Standard, insbesondere 
die Einheiten des Kernnetzwerks sowie die weiteren Mobilfunk- 
5 Kommunikationsendgerate Oder Festnetz- 

Kornmunikationsendgerate, welche in dem Kommunikationssystera 
zum Bereitstellen einer Kommunikationsverbindung ebenfalls 
vorgesehen sind, sind aus Grunden der Einfachheit in dem 
Nachrichtenflussdiagramm 200 von Fig, 2a bis Fig. 2d nicht dar- 
10 gestellt. 



Das Kommunikations system ist hinsichtlich des Nachrichten- 
flusses eingerichtet wie in [21] beschrieben mit der im Fol- 
genden beschriebenen erf indungsgemaBen Erweiterung. 

15 

Zunachst wird somit das in [21] beschriebene Verfahren durch- 
gefuhrt zum Aufbau eines TLS-Tunnels, wobei eine einseitige 
Authentifikation des Server-Rechners 204 zu dem Client- 
Rechner gemaB diesem Ausfiihrungsbeispiel zu dem Mobilfunk- 
20 Koramunikationsendgerats 201 durchgefiihrt wird. Der Nachrich- 
tenfluss entspricht im Wesentlichen dem in [21] in Abschnitt 
13.2 beschriebenen. 

Nach erfolgtem Aufbau des TLS-Tunnels, wie er nachfolgend 
25 noch naher erlautert wird, wird eine EAP/MD5-Challenge- 

Authentifikation, d.h. anders ausgedrtickt eine einseitige Au- 
thentifikation des Client-Rechners, gemaJi diesem Ausfiihrungs- 
beispiel des Mobil funk-Kommunikationsendgerats 201, zu dem 
Server-Rechner 204 durchgefiihrt. 

30 

Wie in [21] beschrieben, beginnt das Verfahren damit, dass 
der Zugangspunkt-Knotenrechner 202 gemafi [21] eine Extensible 
Authentification Protocol-Request/Identity-Nachricht 205 bil- 
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det und an das Mobilfunk-Koiranunikationsendgerat 201 ubermit- 
telt . 

In Reaktion darauf bildet und sendet das Mobilfunk- 

ft 

5 Koinmunikationsendgerat 201 eine EAP~Response/Identity- 

Nachricht 206 an den Zugangspunkt-Knotenrechner 202, welcher 
auf den Empfang dieser Nachricht 206 hin eine RADIUS Access- 
Request-Nachricht 207 mit den Nachrichten-Parametern ,,XXX- 
Data-Cipher-Suite+'' und ,,EAP-Response passthrough"' bildet und 
10 an den TTLS-Server-Rechner 203 iibermittelt . 

Auf dem Empfang der RADIOS Access-Request-Nachricht 207 hin 
bildet und iibermittelt der TTLS-Server-Rechner 203 eine 
RADIUS Access-Challenge-Nachricht 208 mit dem Parameter EAP- 
15 Request/TTLS-Start an den Zugangspunkt-Knotenrechner 202. 

Nach Empfang der Nachricht 208 bildet der Zugangspunkt- 
Knotenrechner 202 eine EAP-Request passthrough-Nachricht 209 
und sendet diese zu dem Mobilfunk-Kommunikationsendgerat 201. 

20 

Nach Empfang der Nachricht 209 bildet das Mobilfunk- 
Koramunikationsendgerat 201 eine EAP-Response/TTLS -Nachricht 
210 mit dem Parameter „ClientHello^' als Nutzdatenelement und 
sendet diese Nachricht 210 an den Zugangspunkt-Knotenrechner 
25 202. 

Der Zugangspunkt-Knotenrechner 202 wiederum bildet auf Emp- 
fang der Nachricht 210 hin eine RADIUS Access-Request- 
Nachricht 211 mit dem Parameter ,,EAP-Response pass through 
30 als Nutzdatenelement und sendet diese Nachricht 211 zu dem 
TTLS-Server-Rechner 203. 
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Nachdem der TTLS-Server-Rechner 203 die RADIUS Access- 
Request -Nachricht 211 empfangen hat und das Nutzdatenelement 
EAP-Response passthrough ausgewertet hat, bildet der TTLS- 
Server-Rechner 203 eine RADIUS Access-Challenge-Nachricht 212 
5 und sendet diese an den Zugangspunkt-Knotenrechner 202 . In 
der RADIUS Access-Challenge-Na.chricht 212 sind als Nutzdaten- 
elemente, d.h. als Nachrichtenparameter enthalten: „EAP- 
Request-TTLS^\ ,,ServerHello^\ ,,Certificate^\ ,,ServerKeyEx- 
change'' und „ServerHelloDone^\ 

Wie in Pig. 2b dargestellt ist, iibermitteit der Zugangspunkt- 
Knotenrechner 202 auf den Empfang der Nachricht 212 hin eine 
von ihm gebildete EAP-Request passthrough-Nachricht 213 an 
das Mobilfunk-Kontmunikationsendgerat 201, welches daraufhin 
gemafi dem in [21] beschriebenen Verfahren eine EAP- 
Response/TTLS-Nachricht 214 mit den Parametern „ClientKeyEx- 
change '\ „Change-Cipher-'Spec'\ ,,Finished'' als Nachrichtenpa- 
rameter und sendet die Nachricht 214 zu dem Zugangspunkt- 
Knotenrechner 202, welcher auf dem Empfang der Nachricht 214 
hin eine RADIUS Access-Request-Nachricht 215 mit dem Nach- 
richtenparameter „EAP-Response passthrough'' bildet und diese 
an den TTLS-Server-Rechner 203 iibermitteit. 

Der TTLS-Server-Rechner 203 bildet auf den Empfang der Nach- 
richt 215 hin eine RADIUS Access-Challenge-Nachricht 216 mit 
den folgenden Nachrichtenparametern: „EAP-Request/TTLS'', 
„Change-Cipher-Spec'\ „Finished'% und sendet die Nach- 
richt 216 zu dem Zugangspunkt-Knotenrechner 202^ welcher auf 
den Empfang der Nachricht 216 hin eine EAP-Request 
passthrough-Nachricht 217 bildet und diese zu dem Mobilfunk- 
Kommunikationsendgerat 201 ubermittelt. 
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Nach Empfang der Nachricht 217 bildet in Reaktion darauf das 
Mobilfunk-Koinmunikationsendgerat 201 eine EAP--Response/TTLS- 
Nachricht 218 mit den Parametern „{EAP-Response/IdeBtity}^' 
und ,,{XXX-Data-Cipher-Suite+)'' und sendet die Nachricht 218 
5 zu den Zugangspunktsknotenrechner 202. 

Der Zugangspunkt-Knotenrechner 202 wiederum bildet auf Emp- 
fang der Nachricht 218 hin eine RADIUS Access^Request- 
Nachricht 219 mit dem Element ,,EAP-Response passthrough'^ . Die 

10 Nachricht 219.wird von dera Zugangspunkt-Knotenrechner 202 zu 
dem TTLS-Server-Rechner 203 iibertragen, welcher auf dem Emp- 
fang der Nachricht 219 hin eine RADIUS Access-Request- 
Nachricht 220 mit der Angabe „EAP-Response/Identity'' als 
Nutzdatenelement und sendet die Nachricht 220 zu dem AAA- 

15 Server-Rechner 204, welcher auf den Empfang der Nachricht 220 
rait dem Bilden einer RADIUS Access-Challenge-Nachricht 221 
reagiert^ welche Nachricht als Parameter eine ,,EAP- 
Request/MD5-Challenge'' -Angabe enthalt (vgl. Fig. 2c) . 



20 Die Nachricht 221 wird von dem AAA- Server-Rechner 204 zu dem 
TTLS-Server-Rechner 203 ubertragen, welcher seinerseits auf 
den Empfang der Nachricht 221 hin eine RADIUS Access- 
Challenge-Nachricht 222 bildet^ welche als Nachrichtenelemen- 
te eine /,EAP-Request/TTLS''-Angabe enthalt sowie als weitere 

25 Parameter {EAP-Request/MD5-Challenge} und ,,{XXX-Data- 
Cipher-Suite}''. 

Die Nachricht 222 wird von dem TTLS-Server-Rechner 203 zu dem 
Zugangspunkt-Knotenrechner 202 ubertragen, welcher auf den 
30 Empfang der Nachricht 222 hin eine EAP-Request passthrough- 
Nachricht 223 bildet und zu dem Mobilfunk- 
Kommunikationsendgerat iibertragt. 
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Von dem Mobilfunk-Konutiunikationsendgerat 201 wird auf den 
Empfang der Nachricht 223 hin eine EAP-Response/TTLS- 
Nachricht 224 rait der Angabe „{EAP-Response/MD5-Challenge}" 
gebildet und zu dem Zugangspunkt-Knotenrechner 202 iibertra- 
5 gen, welche auf den Empfang dieser Nachricht hin eine RADIUS 
Access-Request-Nachricht 225 mit EAP-Response pass through 
bildet und zu dem TTLS-Server-Rechner 203 ubermittelt. 

Auf den Empfang der Nachricht 225 hin bildet der TTLS-Server- 
10 Rechner 203 eine RADIUS Access-Challenge-Nachricht 226 mit 
der Angabe EAP-Response/MD5 -Challenge und ubermittelt die 
Nachricht 226 an den AAA-Server-Rechner 204. 



Der AAA-Server-Rechner 204 bildet auf den Empfang der Nach- 
15 richt 226 hin eine RADIUS Access-Accept -Nachricht 227 und 

sendet diese zu dem TTLS-Server-Rechner 203, welcher auf dem 
Empfang der Nachricht 227 hin eine weitere RADIUS Access- 
Accept-Nachricht 228 mit folgenden Nachrichtenparametern bil- 
det: ,,XXX-Data-Cipher-Suite^^ „XXX-Data-Keying-Material^\ 
20 „EAP-Success'\ Die Nachricht 228 wird von dem TTLS-Server- 
Rechner 203 zu dem Zugangspunkt-Knotenrechner 202 iibertragen, 
welcher auf den Empfang der Nachricht 228 hin eine EAP- 
Success passthrough-Nachricht 229 bildet und an das Mobil- 
funk-Kommunikationsendgerat 201 ubermittelt, womit eine ge- 
25 genseitige Authentif ikation des Mobilfunk- 

Kommunikationsendgerates und dem AAA-Server-Rechner, d.h. dem 
Netzwerk, erreicht ist. 

Urn Kommunikations-Konfigurationsdaten zu erhalten, iibermit- 
30 telt das Mobilfunk-Kommunikationsendgerat 201 eine Konfigura- 
tions-Anfragenachricht gemafi dem DHCP-Protocol als 
CP(CFG_REQUEST) als Nutzdatenelement innerhalb des in [21] 
beschriebenen Protokollformats in einer EAP-Response/TTLS- 
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Nachricht 230 und ubertragt die Nachricht zu dem Zugangs- 
punkt-Knotenrechner 202, welcher auf dem Empfang der Konfigu- 
rationsanfrage hin, wiederum unter Verwendung des in [21] be- 
schriebenen Nachrichtenf onuats eine RADIUS Access-Request- 
5 Nachricht 231 bildet. Als Nachrichtenparameter weist die 
Nachricht 231 auf ein EAP-Response/TTLS passthrough mit zu- 
satzlich der Angabe gemafi dem DHCP-Nachrichtenelement 
CP(CFG_REQUEST) (vgl. Fig. 2d) . 

10 Die von dem Zugangspunkt-Knotenrechner 202 zu dem TTLS- 
Server-Rechner iibertragene Nachricht 231 bringt den TTLS- 
Server 203 dazu, die fiir das Mobilf unk-Kommunikationsendgerat 
201 verfiigbaren und vorgesehenen Konf igurationsdaten, gemali 
diesem Ausfiihrungsbeispiel insbesondere eine oder mehrere dy- 

15 naniische(n) IP-Adresse (n) und ubermittelt diese unter Verwen- 
dung der im Rahmen des Authentif ikationsverf ahrens, wie oben 

■ 

beschrieben, gebildeten Schliisselmaterials in einer RADIUS 
Access-Challenge-Nachricht 232, welche als Nachrichtenparame- 
ter eine EAP-Request/TTLS mit den zusatzlichen Parametern ge- 
20 mali dem DHCP-Protocol „CP (CFG^REPLY) und sendet diese zu dem 
Zugangspunkt-Knotenrechner 202. 

Der Zugangspunkt-Knotenrechner 202 wiederum ermittelt aus der 
Nachricht 232 die in den Nutzdaten CP (CFG_REPLY) enthaltenen 

25 Konf igurationsdaten, insbesondere die dynamische (n) IP- 
Adresse (n)^ welche fiir das Mobilf unk-Kommunikationsendgerat 
vorgesehen ist/sind und sendet die Konfigurationsdaten in 
Form des DHCP-Nachrichtenelements „CP (CFG_REPLY) eingepackt 
in einer EAP-Response/TTLS-Nachricht 233, an das Mobilfunk- 

30 Kommunikationsendgerat 201. 

Ist die Nachricht 233 erfolgreich zu dem Mobilf unk- 
Kommunikationsendgerat 201 ubertragen worden, so ermittelt 
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dieses die Konfigurationsdaten aus der Nachricht 233 und ver- 
wendet diese wie in dem Steuerungsprogramin des Mobilfunk- 
Kommunikationsendgerats 201 vorgesehen. 



5 Anschaulich erfolgt somit die Ubertragung der Mobilfunk- 

Kommunikations-Konfigurationsdaten nach erfolgter Beendigung 
der Authentifikation gemaii dem in [21] beschriebenen EAP~ 
basierten Authentifikationsverfahren. Zusatzlich zu dem in 
[21] beschriebenen Verfahren ist eine Einrichtung der Rechner 

0 gemafi [7] vorgesehen^ um dem Mobil funk-Kommunikationsendgerat 
201 als Client-Rechner die Moglichkeit zu geben^ die Kommuni- 
kations -Konfigurationsdaten mittels der CFG_REQUEST-Nachricht 
anzufordern und mittels der CFG REPLY-Nachricht zu erhalten. 



15 Bis auf die in [7] proprietar beschriebenen Nachrichtenforma 
te entspricht die Nomenklatur und die Einrichtung sowie die 
Parameter dera ublichen . DHCP-Format, wie es beispielsweise in 
[3] beschrieben ist. 



20 



Die Ubertragung der Kommunikations-Konfigurationsdaten er- 
folgt somit kryptographisch gesichert durch den aufgebauten 
TLS"Tunnel . 



In dem Ausfiihrungsbeispiel ist die Kommunikation zwischen dem 
25 TTLS-Server-Rechner 203 und dem Knoten, der die Konfigurati- 
onsdaten bereitstellt, beispielsweise einem DHCP-Server oder 
auch einem LDAP-Server, aus Griinden einer ubersichtlicheren 
Darstellung der Erfindung nicht naher beschrieben. 

30 In einer alternativen Aus fuhrungs form ist es vorgesehen, dass 
die Koiranunikations -Konfigurationsdaten unmittelbar nach Been- 
digung der gegenseitigen Authentifikation, beispielsweise 
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schon innerhalb der EAP-Success-Nachricht 229 an das Mobil- 
funk-Kommunikationsendgerat 201 iibertragen wird. 

Ein drittes Ausfiihrungsbeispiel der Erfindung ist in einem 
5 Nachrichtenflussdiagramm 300 in den Fig. 3a und Fig. 3b darge- 
stellt . 

Das EAP-basierte Authentif ikationsverfahren ist geraaii diesem 
Ausfiihrungsbeispiel gemafi dem PANA-Verfahren^ wie es in [17] 
10 beschrieben ist, ausgebildet. 

Gemafi dem in [17] beschriebenen Protokoll wird von dem PANA- 
Client-Rechner 301 eine PANA_Discover (0, 0) -Nachricht 303 ge- 
bildet und an den PAA-Server-Rechner 302 iibermittelt, welcher 
15 auf den Empfang der PANA_Discover (0, 0) -Nachricht 303 hin eine 
Antwortnachricht PANA_start (x, 0) [Cookie] -Nachricht 304 bildet 
und dem Client-Rechner 301 iibermittelt (vgl. Fig. 3a) . 

Der PANA-Client-Rechner 301 bildet auf den Empfang der Nach- 
20 richt 304 hin eine PANA_start (x, y) [Cookie] -Nachricht 305 und 
iibermittelt diese an den PAA-Server-Rechner 302, welcher auf 
den Empfang der Nachricht 305 im Rahmen des EAP-basierten Au- 
thentif ikationsverfahrens reagiert mit einer ersten Authenti- 
fikationsnachricht 306 PANA_auth (x+l,y) [EAP{ Request }] , welche 
25 zu dem Client-Rechner 301 iibertragen wird. 

Der Client-Rechner 301 bildet auf den Empfang der Nach- 
richt 306 hin eine zweite Authentif ikationsnachricht 307 
PANA_auth(y+l,x+l) [EAP{Response}] . Die Nachricht 307 wird zu 
30 dem PAA-Server-Rechner 302 iibertragen. 

Nach Empfang der Nachricht 307 wird von dem PAA-Server- 
Rechner 302 eine dritte Authentif ikationsnachricht 308 
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PANA_auth(x+2,y+l) [EAP{Request}] gebildet und zu dem Client- 
Rechner 301 iibermittelt, welcher seinerseits auf den Empfang 
der Nachricht 308 hin eine vierte Authentifikationsnachricht 

309 PANA_auth(y+2,x+2) [EAP{Response}] bildet und zu dem PAA- 
5 Server-Rechner iibermittelt, womit die Sicherheitsbeziehung 

(PANA Security Association) etabliert ist. 

Diese Vorgehensweise entspricht der in [17] beschriebenen . 

10 Nachfolgend wird, wie in [17] ebenfalls beschrieben, von dem 
PAA-Server-Rechner 302 eine PANA-Bestatigungsnachricht 310 
PANA_Success(x+3,y+2) [EAP{Success}, Device-Id, Data- 
Protection, MAC] gebildet und zu dem Client-Rechner 301 uber- 
mittelt, welcher vorzugsweise als Mobilfunk- 

15 Kommunikationsendgerat eingerichtet ist (vgl. Fig. 3b) . 

Der Client-Rechner 301 bildet auf den Empfang der Nachricht 

310 hin eine PANA-Success-Bestatigungsnachricht 311 
PANA_Success_ack(y+3,x+3) [Device-Id, Data-Protection, CP 

20 (CFG_Request) , MAC] und sendet diese zu dem PAA-Server- 
Rechner 302, welcher seinerseits auf den Empfang der Nach- 
richt 311 hin eine weitere PANA-Nachricht 312 mit den ange- 
forderten Konfigurationsdaten bildet und zu dem Client- 
Rechner 301 iibermittelt als PANA_msg (x+4, y+3) (CP {CFG_Reply) , 

25 MAC] . 

Anschaulich entspricht die Ausf iihrungsform dem PANA-Protokoll 
gemaJi [17] mit der Erweiterung, dass die Payloads zum Trans- 
port der Adresskonfigurationsnachrichten gemaA dem DHCP, al- 
30 ternativ gemaii ModeConfig, erfindungsgemafi erweitert sind. 
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In den Fig. 3a und Fig, 3b wurden ohne Einschrankung der Allge- 
meingiiltigkeit wiederum die Payloads geraaJi [7] als Konfigura- 
tionspayloads verwendet . 

5 Die Anfrage und die Antwort zum Erhalt der Kommunikations- 
Konfigurationsdaten wird durch den MAC-Payload, der durch ei- 
ne Keyde-Message Digestfunktion realisiert wird, kryp- 
tographisch geschiitzt. 

10 Die benotigten kryptographischen Schliissel und Sicherheitspa- 
rameter, d.h. das kryptographische Schliisselmaterial bzw. Si- 
cherheitsmaterial werden durch die PANA-Security Association 
(SA) bereitgestellt, die mittels der EAP-Authentif ikation, 
wie oben beschrieben und in [17] im Detail ausgefiihrt, er- 

15 zeugt wurden. 
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Patentanspriiche 

1. Verfahren zum Bilden einer verschliisselten Nachricht^ wel- 
che Konununikations-Konfigurationsdaten enthalt, 

5 • bei dem unter Verwendung von mindestens einem Dienst ei- 
ner Einheit einer Sicherungsschicht zwischen einer ersten 
Konmiunikationseinheit und einer zweiten Kommunikations- 
einheit ein internet-basiertes Authentifikationsverfahren 
durchgefuhrt wird^ wodurch fur die erste Koinraunikations- 

10 einheit und die zweite Kommunikationseinheit mindestens 

ein kryptographisches Schliisselpaar gebildet wird, 
• bei dem unter Verwendung mindestens eines kryptographi- 
schen Schliissels des mindestens einen kryptographischen 
Schliisselpaars die Kommunikations-Korif igurationsdaten von 

15 der ersten Kommunikationseinheit verschltisselt werden^ 

womit die verschliisselte Nachricht gebildet wird. 

2. Verfahren gemafi Anspruch 1, 

bei dem das internet-basierte Authentifikationsverfahren auf 
20 einem Extensible Authentication Protocol-Verf ahren basiert. 

3. Verfahren gemali Anspruch 1 oder 2, 

bei dem die Kommunikations-Konf igurationsdaten unter Verwen- 
dung von elektroni schen Nachrichten gemafi dem internet- 
basierten Authentifikationsverfahren von der ersten Kommuni- 
kationseinheit zu der zweiten Kommunikationseinheit iibertra- 

<^ 

gen werden. 

4. Verfahren gemafi einem der Anspriiche 1 bis 3, 
bei dem die Kommunikations-Konf igurationsdaten unter Verwen- 
dung von elektronischen Nachrichten gemafi einem der folgenden 
internet-basierten Authentifikationsverfahren von der ersten 
Kommunikationseinheit zu der zweiten Kommunikationseinheit 
ubertragen werden: 

Protected Extensible Authentication Protocol- Verfahren, 
Extensible Authentication Protocol Tunneled TLS Authenti- 
cation Protocol-Verfahren, oder 
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• Protocol for Carrying Authentication for Network Access- 
Verf ahren . 

5. Verf ahren gemali einem der Anspriiche 1 bis 4^ 

5 bei dem die erste Kommunikationseinheit eine Komraunikations- 
einheit eines Kommunikationsnetzwerk-Elements ist. 

6. Verf ahren gemaB Anspruch 5^ 

bei dem die erste Kommunikationseinheit eine Kommunikations- 
10 einheit eines Kommunikationsnetzwerk-Elements in einem Mobil- 
funk-Kommunikationsnetzwerks ist. 

7. Verf ahren gemafi einem der Anspriiche 1 bis 6, 

bei dem die zweite Kommunikationseinheit ein Kommunikations- 
15 endgerat ist. 

8. Verf ahren gemafi Anspruch 7, 

bei dem die zweite Kommunikationseinheit ein Mobilfunk- 
Kommunikationsendgerat ist . 

20 

9. Verf ahren gemafi einem der Anspriiche 1 bis 8, 

bei dem die Kommunikations-Konf igurationsdaten gemafi einem 
Protokoll format eines Protokolls zum Konfigurieren eines Kom- 
munikationsendgerats codiert sind. 

25 

10. Verf ahren gemafi Anspruch 9^ 

bei dem die Kommunikations-Konf igurationsdaten gemafi einem 
Protokoll format eines Protokolls zum dynamischen Konfigurie- 
ren eines Koramunikationsendgerats codiert sind. 

30 

11- Verf ahren gemafi Anspruch 10^ 

bei dem die Kommunikations-Konf igurationsdaten gemafi einem 
Protokollformat eines Dynamic Host Configuration Protokolls 
zum dynamischen Konfigurieren eines Kommunikationsendgerats 
35 codiert sind. 
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12. Verfahren zum Entschliisseln einer verschliisselten Nach- 
richt, welche Konununikations-Konfigurationsdaten enthalt, 

• bei dem unter Verwendung von mindestens einem Dienst ei- 
ner Einheit einer Sicherungsschicht zwischen einer ersten 
Koininunikationseinheit und einer zweiten Kommunikations- 
einheit ein internet-basiertes Authentif ikationsverfahren 
durchgefuhrt wird, wodurch fur die erste Kommunikations- 
einheit und die zweite Koramunikationseinheit mindestens 
ein kryptographisches Schliisseipaar gebildet wird, 

• bei dem unter Verwendung mindestens eines kryptographi- 
schen Schlussels des mindestens einen kryptographischen 
Schliisseipaar s Konununikations-Konfigurationsdaten von der 
zweiten Koramunikationseinheit unter Entschliisselung der 
verschliisselten Nachricht, welche die Kommunikations- 

15 Konfigurationsdaten enthalt, ermittelt werden. 

13. Einrichtung zum Bilden einer verschliisselten Nachricht, 
wobei die verschlusselte Nachricht Koromunikations- 
Konfigurationsdaten enthalt, 

• mit einer Schliisselerzeugungs-Einheit, welche eingerich- 
tet ist, unter Verwendung von mindestens einem Dienst ei- 
ner Einheit einer Sicherungsschicht zwischen einer ersten 
Koramunikationseinheit und einer zweiten Kommunikations- 
einheit ein internet-basiertes Authentifikationsverfahren 

25 durchzufiihren, wodurch fiir die erste Kommunikationsein- 

* 

heit und die zweite Kommunikationseinheit mindestens ein 
kryptographisches Schliisseipaar gebildet wird, 

• mit einer Verschlusselungseinheit, welche eingerichtet 
ist, unter Verwendung mindestens eines kryptographischen 

30 Schliissels des mindestens einen kryptographischen Schliis- 

selpaars die Kommunikations-Konfigurationsdaten zu ver- 
schliisseln, womit die verschliisselte Nachricht gebildet 
wird. 



20 



35 14. Einrichtung zum Entschliisseln einer verschliisselten Nach- 
richt, wobei die verschlusselte Nachricht Kommunikations- 
Konfigurationsdaten enthalt. 
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• mit einer Schliisselerzeugungs-Einheit^ welche eingerich- 
tet ist, unter Verwendung von mindestens einera Dienst ei-- 
ner Einheit einer Sicherungsschicht zwischen einer ersten 
Kommunikationseinheit und einer zweiten Kommunikations- 

5 einheit ein internet-basiertes Authentif ikationsverfahren 

durchzufiihren^ wodurch fiir die erste Kommunikationsein- 
heit und die zweite Kommunikationseinheit mindestens ein 
kryptographisches Schliisselpaar gebildet wird, 

• mit einer Entschliisselungseinheit, welche eingerichtet 
10 ist, unter Verwendung mindestens eines kryptographischen 

Schliissels des mindestens einen kryptographischen Schlus- 
selpaars Koramunikations-Konfigurationsdaten von der zwei- 
ten Kommunikationseinheit unter Entschliisselung der ver- 
schlusselten Nachricht, welche die Kommunikations- 
15 Konf igurationsdaten enthalt, zu entschliisseln . / 
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